Thread Sicherheitslücke in Perl-Modulen zur IP-/Netzmasken-Validierung (1 answers)
Opened by GwenDragon@Linux at 2021-04-26 15:00

guest GwenDragon@Linux
 2021-04-26 15:00
#193247 #193247
Ein paar Module konvertieren IPs und Netzmasken falsch, was dann dazu führen kann, dass z.B. oktale IPs zu internen werden können.
So ist 011.0.0.1 NICHT 11.0.0.1 wie manche meinen könnten, weil die dezimale Schreibweise vorn Aus Versehen eine 0 hat, sondern 9.0.0.1.
Und 0127.1.1.1 ist eben nicht eine lokale IP sondern 87.1.1.1, eine im Netzwerk der telecomitalia.it.

Net-IPv4Addr: Affected.
Net-CIDR-Lite: Vulnerable before the 0.22 release. Upgrade now.
Net-Netmask: Vulnerable before the 2.00000 release. Upgrade now.
Net-IPAddress-Util: Vulnerable before the 5.000 release. Upgrade now.
Data-Validate-IP: Depends on exactly how it’s used. See below for details.
Net-CIDR: Depends on exactly how it’s used. See below for details.
Socket: Appears unaffected.
Net-DNS: Appears unaffected.
NetAddr-IP: Appears unaffected.
Net-Works: Appears unaffected.
Net-Subnet: Appears unaffected.
Net-Patricia: Appears unaffected.

Quelle: Dave Rolsky 2021-03-29 Security Issues in Perl IP Address distros
Last edited: 2021-04-26 15:10:52 +0200 (CEST)

View full thread Sicherheitslücke in Perl-Modulen zur IP-/Netzmasken-Validierung